Bảo vệ đầu cuối nâng cao là gì?

Iworld.com.vn gửi tới độc giả khái niệm về Bảo về đầu cuối nâng cao

Định nghĩa

Bảo vệ đầu cuối nâng cao là bảo vệ hệ thống khỏi các mối đe dọa từ tệp, không có tệp, dựa trên tập lệnh và zero-day, bằng cách sử dụng học máy hoặc phân tích hành vi. Các công cụ bảo mật đầu cuối phản ứng, truyền thống như tường lửa và phần mềm chống vi rút, thường phụ thuộc vào thông tin về mối đe dọa đã biết để phát hiện các cuộc tấn công. Nhưng các công nghệ tiên tiến tiến xa hơn một số bước,   bằng cách sử dụng các công nghệ chủ động hơn, chẳng hạn như học máy và phân tích hành vi, để xác định các mối đe dọa mới hoặc phức tạp tiềm ẩn.

Sử dụng các kỹ thuật xác định và chặn các mối đe dọa nâng cao, dựa trên các yếu tố như hành vi và tương tác của chúng với phần mềm đáng ngờ khác, đang cản trở hoặc chứa các mối đe dọa “zero day” có thể không có chữ ký hoặc không thể nhận dạng. Các nền tảng này cũng có thể tích hợp với các công cụ bảo mật khác, để  quản lý sự kiện và cung cấp khả năng hiển thị toàn bộ doanh nghiệp về hành vi đáng ngờ cho nhân viên hoạt động bảo mật.

Lợi ích của bảo vệ đầu cuối nâng cao

Các tổ chức ngày nay cần có biện pháp bảo vệ nâng cao, chống lại môi trường đe dọa ngày càng phức tạp. Tội phạm mạng là một công việc sinh lợi cao. Cybersecurity Ventures dự đoán rằng chi phí toàn cầu cho tội phạm mạng sẽ đạt 6,000 tỷ đô la mỗi năm vào năm 2021, khiến nó có lợi hơn so với buôn bán ma túy bất hợp pháp toàn cầu.

Với rất nhiều tiền đang bị đe dọa, tội phạm mạng trở nên thành thạo trong việc tìm ra những cách thức mới, để xâm nhập vào hệ thống CNTT. Ví dụ, các cuộc tấn công hỗn hợp là phổ biến. Các cuộc tấn công này sử dụng nhiều chiến thuật phối hợp, không chiến thuật nào có vẻ khả nghi đối với các hệ thống an ninh truyền thống. Các mối đe dọa Zero-day là một dạng tấn công phổ biến khác, mà các bản quét dựa trên chữ ký tiêu chuẩn không thể dễ dàng xác định được. McAfee Labs báo cáo gần 400,000 kiểu tấn công mới mỗi ngày. Nhiều phần mềm trong số này liên quan đến những thay đổi nhỏ của phần mềm độc hại hiện có, nhưng chúng đủ khác biệt để tránh bị quét chữ ký.

Bảo vệ đầu cuối nâng cao hoạt động như thế nào?

Một giải pháp bảo vệ đầu cuối tiên tiến bao gồm một số công nghệ bổ sung, giúp xác định mối đe dọa tiềm ẩn càng sớm càng tốt và ngăn chặn mối đe dọa xâm nhập vào mạng hoặc cơ sở dữ liệu. Ngoài ra, các công cụ nâng cao thu thập thông tin, để cung cấp thông tin chi tiết về cách thức hoạt động của mối đe dọa và cách đầu cuối có thể được hiển thị ít bị tổn thương hơn trong tương lai. Một số giải pháp bảo mật đầu cuối dựa vào các tác nhân phần mềm nhỏ tại mỗi đầu cuối trong mạng, để ghi dữ liệu, gửi cảnh báo và thực hiện lệnh. Tuy nhiên, một số nhà cung cấp đã bắt đầu cung cấp tính năng bảo vệ đầu cuối nâng cao, dưới dạng kiến ​​trúc, nhanh chóng trở thành hình thức bảo vệ được ưa thích, do dấu vết ít hơn, dễ triển khai và giảm đáng kể thời gian quản lý .

Một giải pháp bảo mật đầu cuối nâng cao có thể bao gồm một số hoặc tất cả các công nghệ hoặc khả năng sau đây.

Máy học

Học máy, một loại trí tuệ nhân tạo, phân tích lượng lớn dữ liệu, để tìm hiểu các hành vi điển hình của người dùng và thiết bị đầu cuối. Sau đó, hệ thống học máy có thể xác định hành vi không điển hình và cảnh báo cho nhân viên CNTT hoặc kích hoạt quy trình bảo mật tự động, chẳng hạn như chứa mối đe dọa, cách ly đầu cuối hoặc đưa ra cảnh báo. Học máy là một cách chính để xác định các mối đe dọa nâng cao, chống lại các thiết bị đầu cuối, cũng như các mối đe dọa mới hoặc không có ngày.

Phân tích bảo mật

Các công cụ phân tích bảo mật ghi lại và phân tích dữ liệu từ các đầu cuối và các nguồn khác, để phát hiện các mối đe dọa tiềm ẩn. Phân tích bảo mật có thể giúp các chuyên gia CNTT, điều tra các vi phạm bảo mật hoặc hoạt động bất thường và xác định thiệt hại nào có thể đã được thực hiện. Các bộ phận CNTT có thể sử dụng phân tích bảo mật, để hiểu những lỗ hổng nào có thể đã dẫn đến vi phạm và các hành động mà CNTT có thể thực hiện, để ngăn chặn các cuộc tấn công trong tương lai.

Thông tin về mối đe dọa theo thời gian thực

Bảo mật nâng cao sẽ có khả năng sử dụng thông tin tình báo, về mối đe dọa trong thời gian thực từ các cơ quan và nhà cung cấp bảo mật bên ngoài. Cập nhật thời gian thực về các loại phần mềm độc hại mới nhất, các mối đe dọa trong zero-day và các cuộc tấn công theo xu hướng khác, giúp giảm thời gian từ lần đầu tiên đến khi ngăn chặn mối đe dọa. Ví dụ về nguồn cấp dữ liệu thông minh là:

Liên minh Đe dọa an ninh mạng, một tổ chức độc lập có các thành viên bao gồm nhiều công ty an ninh mạng lớn nhất, chia sẻ thông tin về mối đe dọa mạng trong thời gian gần thực.

VirusTotal, một trang web bảo mật của Ireland tổng hợp dữ liệu, từ một số lượng lớn các công cụ quét trực tuyến và các sản phẩm chống vi-rút.

McAfee Global Threat Intelligence, một dịch vụ nổi tiếng được phát triển để ghi lại các mối đe dọa cho hàng tỷ tệp, URL, miền và địa chỉ IP.

Bảo mật IoT

Các thiết bị thông minh, được kết nối như điều khiển công nghiệp, hệ thống hình ảnh y tế, máy in văn phòng và bộ định tuyến mạng rất phổ biến. Theo công ty dữ liệu IHS Markit, số lượng thiết bị kết nối Internet vạn vật (IoT) trên toàn thế giới,  sẽ đạt 125 tỷ đô la vào năm 2030. Nhiều thiết bị được kết nối này, thiếu bảo mật và dễ bị tấn công mạng. Có khả năng một thiết bị không được bảo vệ, có thể cung cấp một sự xâm nhập của hacker vào toàn bộ mạng. Trong trường hợp điều khiển công nghiệp, một thiết bị dễ bị tấn công có thể cho phép kẻ tấn công, làm tê liệt các hệ thống quan trọng, chẳng hạn như lưới điện. Các giải pháp bảo mật cho các đầu cuối mới nổi này có thể bao gồm danh sách trắng, để chặn phần mềm hoặc địa chỉ IP trái phép và giám sát tính toàn vẹn của tệp, để quét các thay đổi trái phép đối với cấu hình hoặc phần mềm.

Phát hiện và phản hồi điểm cuối (EDR)

EDR không phải là công nghệ hoàn toàn mới, nhưng ngày nay nó quan trọng hơn khi các mối đe dọa ngày càng tinh vi hơn. EDR liên tục giám sát hành vi của người dùng cuối hoặc đầu cuối đáng ngờ và thu thập dữ liệu đầu cuối, để phân tích mối đe dọa. Các giải pháp EDR có thể cung cấp các tính năng phản hồi tự động, chẳng hạn như cắt một đầu cuối bị nhiễm độc khỏi mạng, kết thúc các quy trình đáng ngờ, khóa tài khoản hoặc xóa các tệp độc hại.

Tội phạm mạng gia tăng và tinh vi hơn trong các cuộc tấn công mạng, khiến tất cả các tổ chức có nguy cơ bị tấn công. Một cuộc tấn công gây ra thời gian chết kéo dài hoặc đánh cắp dữ liệu, có thể ảnh hưởng đáng kể đến một tổ chức. Hậu quả là thiệt hại danh tiếng của họ đối với cả khách hàng và cổ đông, thiết hại có thể lên hàng triệu đô la, ngoài chi phí vi phạm. Theo Accenture, tội phạm mạng gây thiệt hại cho tổ chức trung bình khoảng 13 triệu USD vào năm 2017.

Các tổ chức có thể giảm thiểu nguy cơ bị tấn công mạng, bằng cách triển khai các giải pháp và thực tiễn bảo mật hiệu quả. Bảo vệ đầu cuối nâng cao là một yếu tố quan trọng của bảo mật CNTT, bởi vì bất kỳ đầu cuối nào, cho dù đó là máy tính để bàn, máy in hay thiết bị điều khiển công nghiệp đều là một cổng tiềm năng vào mạng.

Các giải pháp bảo mật đầu cuối một vài năm trước đây, không còn đủ để ngăn chặn các tin tặc táo bạo, đặc biệt là với các nhóm tội phạm chuyên nghiệp và các quốc gia tài trợ cho nhiều cuộc tấn công. Các công nghệ bảo mật đầu cuối chủ động, nâng cao, chẳng hạn như học máy, phân tích và cập nhật mối đe dọa trong thời gian thực, ngày càng quan trọng đối với bảo mật của hệ thống CNTT và dữ liệu, vì chúng cho phép xác định được nhiều mối đe dọa hơn trong một khoảng thời gian ngắn hơn.

Trân trọng cám ơn quý độc giả./.

Bài đọc tham khảo thêm cho bạn

• McAfee for Business
• McAfee Endpoint Detection and Response

Biên dịch: Lê Toản – Iworld.com.vn